Контакты
Подписка 2025
Статьи по информационной безопасности

Грани SIEM. Эволюция Security Capsule SIEM

Инновационные Технологии в Бизнесе, 09/11/23

На сегодняшний день Security Capsule SIEM обладает функциональными, архитектурными и потребительскими свойствами, соответствующими самым высоким требованиям по обеспечению необходимого уровня безопасности информации. В этой статье рассмотрим отдельные функции, возможности и способы применения этой системы. Особое внимание уделим уникальным функциональным возможностям Security Capsule SIEM и их соответствию не только требованиям регуляторов, но и практическим запросам заказчиков.

Авторы: А.А. Графов, С.А. Графов, В.И. Тимченко, А.А. Жорин, ООО “ИТБ”

Для кого?

Применение SIEM приводит к выявлению недопустимых событий и инцидентов, способствует предотвращению негативных последствий и, как следствие, сокращению издержек, связанных с информационной безопасностью. Security Capsule SIEM также позволяет выполнить требования законодательства Российской Федерации в области безопасности информации.

Security Capsule SIEM может применяться в составе государственных информационных систем (ГИС), ИСПДн, значимых объектов КИИ, автоматизированных систем управления технологическими процессами (АСУ ТП), систем обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

ris1-Nov-09-2023-08-01-44-8505-AM

Security Capsule SIEM имеет модульную архитектуру, что позволяет адаптировать архитектуру системы к инфраструктуре и потребностям заказчика. В состав Security Capsule SIEM входят несколько модулей.

  1. Модуль сбора событий осуществляет сбор событий от источников данных (АРМ, сервер, коммуникационное оборудование, прикладное и общесистемное ПО, СЗИ от НСД).
  2. Модуль нормализации осуществляет преобразование поступающих от источников данных из неоднородного формата в структурированный.
  3. Модуль корреляции выполняет анализ событий в режиме реального времени или ретроспективно с целью выявления инцидентов.
  4. Модуль хранения. Для хранения сырых и нормализованных событий, а также инцидентов применяется документно-ориентированная нереляционная СУБД MongoDB. Конфигурации и статистика хранятся в СУБД PostgreSQL.
  5. Дополнительно лицензируемый модуль ГосСОПКА обеспечивает возможность полуавтоматической отправки уведомлений о зафиксированных на объекте информатизации компьютерных инцидентах по определенному НКЦКИ регламенту.

Security Capsule SIEM поставляется как в виде решения "всё в одном" для небольших инфраструктур, так и в виде модулей для развертывания в территориально распределенной инфраструктуре. Все компоненты могут быть установлены на одном или на нескольких Linux-серверах.

Возможность реализации распределенной архитектуры и развертывания в децентрализованной конфигурации является одной из основных особенностей архитектуры Security Capsule SIEM, которая позволяет эффективно обрабатывать большие объемы данных, а также обеспечивать высокую скорость реакции на угрозы.

Отдельно стоит отметить поддержку в SIEM Security Capsule режима мультитенантности (Multitenancy), которая дает возможность изолированно предоставлять услуги по мониторингу информационной безопасности для пользователей из разных организаций.

ris5-Nov-09-2023-08-02-14-6916-AM

Опыт внедрения и эксплуатации

За более чем десятилетний опыт реализации проектов по построению подсистемы регистрации событий информационной безопасности на базе Security Capsule SIEM особую популярность получила реализация проектов под ключ. Если, приобретая систему, заказчик не имеет возможности привлечь собственные ресурсы для развертывания системы в сжатые сроки, то специалисты ООО "ИТБ" в тесной кооперации с ответственными специалистами на местах осуществляют работы по пусконаладке системы. Эти работы включают развертывание модулей, настройку сбора событий от источников, написание при необходимости правил нормализации и корреляции.

Так, например, в 2022 г. специалистами ООО "ИТБ" в максимально сжатые сроки были проведены работы по пусконаладке Security Capsule SIEM на уровне цифровизации одного из субъектов Российской Федерации, предполагающей комплексное развитие цифровой среды на основе единого цифрового "ядра" региона.

Как правило, развертывание Security Capsule SIEM на объекте информатизации заказчиков осуществляется в четыре этапа: обследование, определение источников событий, установка компонентов, настройка компонентов системы и источников событий ИБ.

Любая SIEM-система для своей работы требует выделения значительных объемов памяти и дискового пространства для хранения и обработки данных. Конечно же, это зависит от количества источников событий ИБ и/или количества событий ИБ (см. табл.).

table-3

Модель лицензирования

Security Capsule SIEM лицензируется по следующим критериям:

  1. Модули. Количество устанавливаемых модулей зависит от архитектуры системы заказчика.
  2. Источники данных. Источниками данных для Security Capsule SIEM являются компоненты инфотелекоммуникационной инфраструктуры заказчиков как отечественного, так и зарубежного производства, например автоматизированные рабочие места, серверы, коммуникационное оборудование, средства защиты информации от НСД, СКЗИ, антивирусные средства и т.д.
  3. Необходимость поставки дополнительно лицензируемого модуля ГосСОПКА.

Важно, что лицензии на использование Security Capsule SIEM являются бессрочными.

В течение первого года использования системы обновления и техническая поддержка включены в стоимость приобретения. Затем условия осуществления технической поддержки и получения обновлений регламентируются лицензионной политикой.

Типовыми вариантами поставки являются:

  1. Передача неисключительных прав на программные модули.
  2. Поставка программно-аппаратного комплекса с предустановленными компонентами Security Capsule SIEM.

Планы и перспективы

Перспективы развития Security Capsule SIEM в большей степени определяются запросом государства и бизнеса. Не остаются без внимания и мировые тренды, одним из которых является автоматизация и машинное обучение, повышающее производительность и точность обнаружения инцидентов.

Располагая экспертизой, набором знаний и опыта, команда ООО "ИТБ" ставит перед собой задачи кратного увеличения занимаемой доли рынка среди систем класса SIEM. При этом мы не идем по пути подмены или замещения иных классов систем защиты информации функциональными возможностями Security Capsule SIEM. Данный подход позволяет нам предлагать заказчикам систему по привлекательной цене, с набором только тех функций, которые необходимы.

Одним из перспективных направлений является кастомизация Security Capsule SIEM под крупные проекты, в соответствии со спецификой запросов конкретного заказчика.

ris0

Импортозамещение и сертификаты

Система мониторинга и корреляции событий информационной безопасности Security Capsule SIEM – импортозамещающее решение, учитывающее потребности государства и бизнеса. Соответствует требованиям регуляторов ФСТЭК России, ФСБ России.

Security Capsule SIEM зарегистрирована в едином реестре российских программ для электронных вычислительных машин и баз данных Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.

Проведены испытания, подтверждающие совместимость Security Capsule SIEM с российскими операционными системами, состоящими в едином реестре российских программ, включая Astra Linux Special Edition, РЕД ОС, EMIAS OS 1.0 (разработка ООО "ИТБ"), ROSA Enterprise Linux Server, ОС Альт 8 СП. Информация о Security Capsule SIEM включена в маркетплейс российского ПО Минцифры.

Заключение

Последние события, связанные с прекращением деятельности в России крупных иностранных вендоров средств защиты информации, открывают перед отечественными производителями новые возможности. Меры государственной поддержки ИТ-отрасли как одной из приоритетных отраслей экономики в 2023 г. помогают разработчикам отечественного ПО адаптироваться в условиях санкций и ограничений.

Компания ООО "ИТБ" ставит перед собой в обозримом будущем основной задачей масштабирование бизнеса посредством привлечения дополнительных инвестиций.
Темы:SIEMВебмониторэксЖурнал "Информационная безопасность" №4, 2023Security Capsule SIEM

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Защищенный удаленный доступ: технологии безопасной дистанционной работы
Материалы конференции Форума ITSEC 2025 →
Статьи по той же темеСтатьи по той же теме

  • Чек-лист: как выбрать результативный SIEM
    Олег Хныков, руководитель группы продуктового маркетинга по инфраструктурной и сетевой безопасности, Positive Technologies
    Как может выглядеть один день из жизни аналитика SOC? Экран завален сотнями событий ИБ, мигают новые алерты, очередные срабатывания правил корреляций. В голове одна мысль: где-то прямо сейчас злоумышленник движется по инфраструктуре, а ты его не видишь, – в этой лавине даже опытный аналитик может пропустить главное.
  • Когда свой – чужой: как вычислить злоумышленника под легитимной учеткой
    Александр Дорофеев, CISSP, CISA, CISM, АО “Эшелон Технологии”
    Злоумышленники, использующие легитимные учетные записи – ключевая угроза сегодня для корпоративной инфраструктуры. Если атаки через вредоносный трафик может обнаружить система IDS, а вирусное ПО – антивирус, то действия хакера под видом обычного сотрудника выявить гораздо сложнее. Здесь на помощь приходит SIEM.
  • SIEM и приказ № 117: что изменится и что делать?
    Максим Степченков, совладелец компании RuSIEM
    Приказ № 117 ФСТЭК России вновь вывел в центр внимания тему информационной безопасности вообще и SIEM в частности. Он не стал революцией, но именно такие документы задают рамки и скорость развития рынка. Для крупных компаний это скорее уточнение правил игры, а, например, для муниципальных структур – серьезный повод для пересмотра подхода к информационной безопасности. Ведь теперь SIEM становится не просто желательным инструментом, а обязательным элементом инфраструктуры. Возникает главный вопрос: как внедрить решение, если денег и специалистов не хватает, а сроки уже определены?
  • Методология построения и защиты API простыми словами
    Тимофей Горбунов, продуктовый маркетолог “Вебмониторэкс”
    Задумайтесь, какое количество "толстых" клиентов вы используете уже сегодня? Какие тренды зарубежного технологического рынка сформировались за последние годы и дойдут до нас в полном объеме в ближайшее время?
  • Aladdin eCA – доверенная альтернатива Microsoft CA
    Денис Полушин, руководитель направления PKI компании Аладдин
    Aladdin eCA – это полнофункциональная отечественная альтернатива Microsoft CA, обеспечивающая комплексную защиту цифровой идентификации и интеграцию в существующие экосистемы предприятий.
  • SECURITM делает безопасность доступной и эффективной
    Николай Казанцев, CEO компании SECURITM
    Николай Казанцев, CEO компании SECURITM, о философии информационной безопасности, доступности решений для бизнеса любого масштаба, о построении идеальной инфраструктуры и о том, как меняется подход к управлению информационной безопасностью.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Материалы конференции →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Материалы конференции →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"

Политика конфиденциальности
Согласие на обработку персональных данных